La "migliore" controargomentazione dipende da ciò che stai cercando di ottenere.
Se vuoi solo avere ragione scientificamente, allora è sufficiente dire che i sali non sono, e non lo sono mai stati, un metodo per far fronte a due utenti distinti che scelgono la stessa password. In particolare perché due utenti a cui capita di scegliere la stessa password non è un problema per cominciare, quindi non c'è nulla da risolvere. I sali servono per evitare attacchi paralleli, incluso l'uso di tabelle precalcolate. La mancanza di sali era il peccato capitale di LinkedIn.
Ora avere ragione ha un effetto solo sulle persone che sono pronte a riconoscere che possono essere in torto o almeno non completamente informate. Ciò che citi dal tuo manager tende a dimostrare che è completamente incompetente sull'argomento e anche convinto di padroneggiarlo completamente. Se vuoi convincere quel manager che ha torto, allora, buona fortuna. Ciò che le persone temono di più è ammettere, anche implicitamente, di aver detto qualcosa di stupido.
Se desideri che la tua organizzazione passi effettivamente all'hashing della password corretto (leggi questo), ciò che potresti essere in grado di fare è convincere altre persone che ciò che il manager ha appena detto è puro senza senso, che non ha nemmeno abbastanza senso essere effettivamente sbagliato. Se il manager viene isolato, può chiudere un occhio sull'implementazione di un corretto hashing della password, senza, ovviamente, mai riconoscerlo. Anche in questo caso, l'argomento scientificamente corretto non è necessariamente il più efficiente. In Nord America (in particolare le aree di influenza britannica come il New England), gli incontri di lavoro mirano a evitare scontri e diluire le responsabilità, quindi dovresti diffondere un po 'di paura, incertezza e dubbio: assicurati di sottolineare che il tuo concorrenti stanno passando agli hash salati e non facendo lo stesso si corre il rischio di perdere una parte di mercato. Nell'Europa meridionale, gli incontri sono battaglie rituali per stabilire la gerarchia, quindi urla, ringhia, minaccia e usa il sarcasmo per ottenere il sostegno della folla: non vinci avendo ragione , ma essendo assertivo .
Uno dei tipi di argomenti più efficienti, in generale, è l'appello all'autorità. Nella pubblicazione speciale NIST SP800-118 (attualmente in bozza), si può vedere:
Un altro esempio di debolezza dell'algoritmo hash è che alcuni algoritmi non usano il salting.
"No salt" = "debolezza". Lo dice il NIST. Chi è questo manager che pensa di essere più intelligente del NIST?